El malware SmokeLoader se está utilizando para entregar una nueva cepa de malware de escaneo de Wi-Fi llamada Whiffy Recon en máquinas Windows comprometidas.
“La nueva cepa de malware tiene una sola operación. Cada 60 segundos triangula las posiciones de los sistemas infectados escaneando puntos de acceso Wi-Fi cercanos como un punto de datos para la API de geolocalización de Google”, dijo Secureworks Counter Threat Unit (CTU). “La ubicación devuelta por la API de geolocalización de Google se envía de vuelta al adversario”.
SmokeLoader, como su nombre lo indica, es un malware cargador cuyo único propósito es colocar cargas útiles adicionales en un host. Desde 2014, el malware se ha ofrecido a la venta a actores de amenazas con sede en Rusia. Tradicionalmente se distribuye a través de correos electrónicos de phishing.
Whiffy Recon funciona comprobando el servicio WLAN AutoConfig (WLANSVC) en el sistema infectado y terminando si el nombre del servicio no existe. Vale la pena señalar que el escáner no valida si está operativo.
La persistencia se logra mediante un acceso directo que se agrega a la carpeta Inicio de Windows.
“Lo preocupante de nuestro descubrimiento de Whiffy Recon es que la motivación para su operación no está clara”, dijo Don Smith, vicepresidente de inteligencia de amenazas de Secureworks CTU.
“¿Quién, o qué, está interesado en la ubicación real de un dispositivo infectado? La regularidad del escaneo cada 60 segundos es inusual, ¿por qué actualizar cada minuto? Con este tipo de datos, un actor de amenazas podría formar una imagen de la geolocalización de un dispositivo, mapeando lo digital a lo físico”.
El malware también está configurado para registrarse con un servidor de comando y control remoto (C2) pasando un “botID” generado aleatoriamente en una solicitud HTTP POST, después de lo cual el servidor responde con un mensaje de éxito y un identificador único secreto que posteriormente se guarda en un archivo llamado “%APPDATA%\Roaming\wlan\str-12.bin”.
La segunda fase del ataque consiste en buscar puntos de acceso Wi-Fi a través de la API WLAN de Windows cada 60 segundos. Los resultados del escaneo se envían a la API de geolocalización de Google para triangular el paradero del sistema y, en última instancia, transmitir esa información al servidor C2 en forma de una cadena JSON.
“Este tipo de actividad / capacidad rara vez es utilizada por los actores criminales”, agregó Smith. “Como capacidad independiente, carece de la capacidad de monetizar rápidamente. Las incógnitas aquí son preocupantes y la realidad es que podría usarse para apoyar cualquier número de motivaciones maliciosas”.
